Capibara Ransomware užrakina užkrėstus kompiuterius

Peržiūrėdama naujus failų pavyzdžius mūsų tyrimų grupė aptiko „Capibara“ išpirkos reikalaujančią programinę įrangą. Ši kenkėjiška programinė įranga veikia šifruodama failus, kad reikalautų išpirkos.

Įsigiję šios kenkėjiškos programos pavyzdį, paleidome ją savo bandomojoje sistemoje. Pastebėjome, kad failų, užšifruotų šios išpirkos reikalaujančios programos, failų pavadinimai pakeisti naudojant plėtinį „.capibara“. Pavyzdžiui, failas pavadinimu „1.jpg“ bus rodomas kaip „1.jpg.capibara“, o „2.png“ – kaip „2.png.capibara“ ir t. t.

Užbaigusi šifravimo procesą, „Capibara“ pakeitė darbalaukio foną ir sugeneravo tekstinį failą „READ_ME_USER.txt“, kuriame yra išpirkos laiškas rusų kalba. Rašte aukai sakoma, kad jų failai buvo užšifruoti ir dabar neįskaitomi, ir pabrėžiama, kad atgauti neįmanoma be užpuolikų dalyvavimo.

Aukai nurodoma įsigyti iššifravimo įrankį už 5000 Rusijos rublių naudojant Bitcoin. Tačiau bitkoinuose nurodyta išpirkos suma – 0,073766 BTC – nesutampa su rublio suma pagal dabartinį kursą, atsižvelgiant į vykstančius kursų svyravimus.

Capibara Ransom Note yra tik rusų kalba

Visas Capibara išpirkos rašto tekstas skamba taip:

Все ваши файлы на компьютере были успешно зашифрованы капибарой.
Ваш компьютер был заражен вирусом шифровальщиком. Все ваши файлы были зашифрованы и не могут быть восстановлены без нашей помощи. Для того, что бы восстановить их, вы можете купить программу для расшифровки файлов. Она позволит вам восстановить ваши данные и удалить вирус с компьютера.
Цена программы - 5000 рублей. Платеж только через битокин.
Как мне платить и где купить биткоин?
Поищите в гугле, спросите у знакомых, нам похер.

Payment informationAmount: 0.073766 BTC
Bitcoin Address: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

Kaip Ransomware gali užkrėsti jūsų namų kompiuterį?

Ransomware gali užkrėsti jūsų namų kompiuterį įvairiomis priemonėmis, įskaitant:

Sukčiavimo el. laiškai: užpuolikai siunčia apgaulingus el. laiškus, kuriuose yra kenkėjiškų nuorodų arba priedų. Spustelėjus šias nuorodas arba atidarius užkrėstus priedus, galite atsisiųsti ir įdiegti išpirkos reikalaujančią programinę įrangą savo kompiuteryje.

Kenkėjiškos svetainės: Lankantis pažeistose ar kenkėjiškose svetainėse, jūsų kompiuteryje gali būti atsisiunčiami automatiškai, kai išpirkos reikalaujančios programos automatiškai atsisiunčiamos ir įdiegiamos be jūsų žinios.

Programinės įrangos pažeidžiamumas: pasenusi programinė įranga, ypač operacinės sistemos ir programos, gali turėti saugos spragų, kurias išpirkos reikalaujančios programos išnaudoja siekdamos pasiekti jūsų kompiuterį.

Nesaugus nuotolinio darbalaukio protokolas (RDP): jei naudojate RDP nuotoliniu būdu prisijungdami prie namų kompiuterio ir jis nėra tinkamai apsaugotas (pvz., naudojant silpnus slaptažodžius), užpuolikai gali pasinaudoti tuo, kad gautų prieigą ir įdiegtų išpirkos reikalaujančias programas.

Užkrėsti USB diskai: prijungus užkrėstus USB diskus ar kitus išorinius saugojimo įrenginius, jūsų kompiuteryje gali atsirasti išpirkos reikalaujančių programų.

Nemokama arba piratinė programinė įranga: atsisiunčiant programinę įrangą iš nepatikimų šaltinių arba naudojant piratinę programinę įrangą padidėja rizika, kad kartu su ja bus atsisiunčiama išpirkos reikalaujančių programų.

Tinklo pažeidžiamumų išnaudojimas: Ransomware gali išplisti namų tinkle, jei vienas kompiuteris užsikrečia ir kenkėjiška programa gauna prieigą prie bendrų diskų ar kitų prie tinklo prijungtų įrenginių.